리콜의 역설, 더 많이 고치는데 왜 위기인가?
S/W 리콜과 재작업 위기의 구조적 진단, 그리고 SUMS가 답이다
대한민국의 전기차 누적 보급 대수가 93만 대를 넘어섰습니다(‘26년 2월기준). 2016년 1만 대 돌파(10,855대)를 자축했던 그 해로부터 불과 9년 만입니다. 신차 판매 중 승용세단의 경우, 국산차의 15%, 수입차의 11%가 전기차로 팔리는 지금, 전기차는 더 이상 미래의 이야기가 아닙니다. 이미 우리가 매일 타고 내리는 현실입니다.
그런데 이 성대한 보급 축제 앞에서, 우리가 아직 제대로 묻지 않은 질문이 하나 있습니다. 100만 대의 전기차를 달리게 하는 소프트웨어는, 지금 이 순간에도 안전하게 관리되고 있는가.
"전기차는 바퀴 달린 스마트폰이 아닙니다. 수백만 줄의 코드 위에서 사람이 탑승하는 안전 기계입니다."
전기차와 SDV — 충전 코드보다 긴 소프트웨어의 그림자
전기자동차는 구동 모터와 배터리만으로 작동하지 않습니다. 차량 내부에는 수십 개의 전자제어장치(ECU)가 얽혀 있고, 이를 통합하는 중앙 소프트웨어 플랫폼이 차량의 거동, 안전, 사용자 경험 전반을 결정합니다. 이것이 바로 SDV(Software-Defined Vehicle), 소프트웨어 중심 차량의 본질입니다.
전기차는 SDV의 가장 전형적인 구현체입니다. 배터리 관리 시스템(BMS), 전동화 구동계, 회생제동, 운전자 지원 시스템(ADAS)까지, 이 모든 기능이 소프트웨어 코드로 정의되고 제어됩니다.
내연기관 시대의 자동차는 출고 후 물리적 부품이 마모될 때까지 '완성된 제품'이었습니다. 하지만 SDV는 다릅니다. 소프트웨어가 업데이트되면 같은 차량이 전혀 다른 성능과 기능을 갖게 됩니다. 구매 당시의 스펙이 6개월 후엔 달라질 수 있습니다. 이 역동성은 곧 기회이기도 하고, 위험이기도 합니다.
OTA — 무선 업데이트가 인프라가 되다
스마트폰이 밤새 운영체제를 업데이트하듯, 전기차도 이제 무선으로 소프트웨어를 갱신합니다. OTA(Over-the-Air) 업데이트 기술입니다. 리콜을 위해 서비스 센터까지 차를 몰고 가는 번거로움 없이, 결함 소프트웨어를 수정하고 기능을 추가할 수 있습니다. 그러나 이 편리함이 새로운 위험의 문을 열고 있다는 사실을 우리는 직시해야 합니다. 그 위험의 실체는 숫자로 이미 나타나고 있습니다.
2024년 국내 자동차 리콜 대수가 514만 2,988대로 집계됐습니다. 한국교통안전공단 자동차리콜센터가 연간 최종 집계를 시작한 이래 역대 최다 기록입니다. 종전 기록인 2022년 324만 7,296대 대비 58.4% 증가한 수치이며, 전년(169만 1,870대) 대비로는 3배 이상 급증한 것입니다. 리콜 대상 차종은 1,684종에 달했습니다. 업계에서는 인기 차종의 대량 결함과 함께 자동차의 전동화·전장화가 이 같은 급증을 이끈 원인으로 분석합니다. 한 차종에서 결함이 발생하면 부품을 공유하는 다른 차종까지 리콜이 연쇄 확대되는 구조가 정착된 것입니다.
미국 시장의 흐름도 같은 방향을 가리킵니다. 다만 미국과 한국은 판매 규모, 차종 구성, OEM 점유율이 크게 다르므로 수치를 직접 비교하는 것은 적절하지 않습니다. 그러나 소프트웨어 결함이 리콜의 주된 원인으로 부상하고 있다는 큰 흐름은 한국도 예외가 아닙니다.
"결함의 뿌리가 기계에서 코드로 옮겨갔습니다.
문제는 코드는 공장 밖으로 나간 뒤에도 계속 수정되어야 한다는 것입니다."
재작업 위기 — ICCU가 보여준 민낯
소프트웨어 리콜이 만들어내는 가장 심각한 문제는 '재작업의 반복'입니다. 리콜을 받았는데 동일한 결함이 재발한다면, 그 조치는 처음부터 근본 원인을 해결하지 못한 것입니다. 이를 가장 선명하게 보여주는 것이 국내 대규모 제작사의 통합충전제어장치 결함입니다.
통합충전제어장치는 전기차에서 고전압 배터리와 12V 보조 배터리의 전력을 통합 관리하는 핵심 제어 장치입니다. 대상 제작사는 2024년 국내에서만 3월과 12월 두 차례에 걸쳐 다수차종에 대하여 약 34.8만 대를 리콜했습니다. 리콜의 주된 조치는 소프트웨어 업데이트였습니다. 그러나 리콜 이후에도 국내 전기차 커뮤니티에는 동일 결함 재발 사례가 이어졌고, 결국 제조사는 통합충전제어장치 보증 기간을 10년·16만 km에서 15년·40만 km로 연장하는 추가 대책을 내놓았습니다. 이는 소프트웨어 패치만으로는 한계가 있음을 스스로 인정한 것과 다름없습니다.
재작업이 반복되는 이유
국내 통합충전제어장치 사례에서 리콜 후 동일 결함이 재발한 이유에 대해서는 아직 제작사의 공식적인 근본 원인 분석이 충분히 공개되지 않았습니다. 다만, 미국 시장에서 축적된 대규모 리콜 재작업 데이터는 이와 유사한 패턴이 왜 반복되는지에 대한 중요한 참고점을 제공합니다.
미국의 자동차 리콜 재작업 사례를 분석한 업계 보고서(AutoSoftToday, 2025)에 따르면, 소프트웨어 수정이 실패하는 원인은 다섯 가지 패턴으로 분류됩니다. 특정 제조사의 문제가 아닌, SDV 전환 과정에서 다수의 OEM이 공통적으로 겪는 산업 전반의 구조적 문제입니다.
소프트웨어 수정이 실패하는 5가지 패턴
불완전한 수정 (42%) : 소프트웨어 업데이트가 근본 원인을 해결하지 못한 경우입니다. 복잡한 모듈 간 타이밍 의존성이나 환경적 엣지케이스를 충분히 고려하지 않고 배포한 것이 주된 원인입니다.
OTA 배포 실패 (18%) : 무선 업데이트가 오설치되거나 새로운 문제를 야기한 경우입니다. 포드 머스탱 마하-E의 ABS 관련 OTA 업데이트가 오히려 파워 브레이크 어시스트 상실을 초래한 사례(NHTSA 25V513000)가 대표적입니다.
하드웨어 교체 필요 (15%) : 소프트웨어만으로 해결이 불가능해 결국 부품 교체 캠페인이 추가로 필요해진 경우입니다. 연료 인젝터 관련 사례에서는 소프트웨어 단독 시도가 세 차례 실패한 후에야 부품 교체로 전환됐습니다.
검증 격차 (13%) : 실험실에서는 정상 작동한 수정이 실사용 환경에서 실패한 경우입니다. 운전 패턴·온도·충전 조건 등 현장 변수가 검증 단계에 충분히 반영되지 않은 것이 원인입니다.
범위 확대 (12%) : 최초 조치 배포 후 영향 차종·시스템이 초기 파악보다 더 넓은 것이 확인되어 후속 캠페인이 필요해진 경우입니다.
통합충전제어장치 재작업 사례가 이 중 어느 패턴에 해당하는지는 제작사의 공식 근본 원인 분석이 공개되어야 단정할 수 있습니다. 그러나 소프트웨어 패치 후 재발, 이후 부품 보증 기간 연장이라는 대응 경과는 위 분류 중 '불완전한 수정'과 '하드웨어 교체 필요' 패턴과 상당히 유사합니다. 어느 쪽이든 공통된 시사점은 하나입니다. 소프트웨어를 도구로 쓰되, 그 도구의 한계를 출고 전에 정직하게 인식했어야 한다는 것입니다.
OTA — 해결책인가, 또 다른 위험인가
산업계는 OTA(Over-the-Air) 업데이트를 리콜 위기의 돌파구로 제시하고 있습니다. 제도적으로도 중요한 변화가 있었습니다. 국토교통부는 2024년 11월 자동차관리법 시행규칙(제132조 및 별표9)을 개정하여 '정비업의 제외사항'에 자동차 제작사의 무선 업데이트를 추가했습니다. 이로써 정비소 이외의 장소에서도 OTA 방식으로 소프트웨어 업데이트가 가능해졌으며, 그간 법적 불확실성 속에 묶여 있던 OTA 리콜이 공식적으로 합법화됐습니다. 차량 소유자의 편의와 안전을 위한 조치이자, SDV 시대에 걸맞은 규제 현실화의 첫 걸음입니다.
그러나 OTA 합법화가 곧 안전을 보장하지는 않습니다. 앞서 살펴본 미국 업계 분석에서도 재작업 리콜의 18%가 OTA 배포 자체의 실패에서 비롯된 것으로 나타났습니다. 검증이 부족한 소프트웨어를 수십만 대에 일괄 배포하면, 이전 결함이 채 해소되기도 전에 새로운 고장 모드가 유발될 수 있습니다.
특히 간과해서는 안 될 위험이 있습니다. OTA 채널은 소프트웨어를 원격으로 배포하는 통로인 만큼, 악성코드 주입·서버 위장·보안 서명 위조 등의 공격 벡터가 될 수 있습니다. NHTSA는 2020년 보고서에서 이 위험을 이미 명시적으로 경고했습니다. 차량이 인터넷에 연결되는 순간, 그 차량은 물리적 보안뿐만 아니라 사이버 보안의 대상이 됩니다. 소프트웨어 업데이트 채널이 침해된다면 수십만 대의 차량이 동시에 악성 코드에 노출될 수 있습니다. 이는 단순한 데이터 침해가 아닌, 주행 중인 차량에 대한 직접적인 생명 안전의 문제입니다.
무엇이 바뀌어야 하는가
자동차 소프트웨어 리콜의 급증과 재작업의 반복은 SDV 전환의 부작용이 아닙니다. 전환 속도에 품질 관리와 업데이트 관리 체계가 따라가지 못한 결과입니다.
미국의 업계 분석이 제시하는 제언과 국내 규제 환경을 교차하면, 해결의 방향은 세 가지로 수렴됩니다.
첫째, 처음부터 제대로 — First-Time-Right 품질 문화를 정착시켜야 합니다.
업계 분석은 재작업 리콜의 13.4%라는 수치를 "안전 필수 시스템에서는 용납할 수 없는 수준"으로 규정합니다. 모듈 경계를 넘나드는 통합 테스트, 실사용 환경과 운전 패턴을 반영한 검증, 그리고 소프트웨어 단독 수정 시 반드시 하드웨어-인-더-루프(Hardware-in-the-loop) 테스트를 병행하는 체계가 필요합니다. 리콜은 예방의 실패이지, 대응의 성공이 아닙니다.
둘째, SUMS — 소프트웨어 업데이트를 생애주기 전략의 핵심으로 내재화해야 합니다.
소프트웨어 업데이트를 사후 대응 수단이 아닌 차량 생애주기 전략의 핵심으로 설계해야 합니다. UN R156이 명시한 소프트웨어 업데이트 관리 시스템(SUMS)이 그 제도적 출발점입니다. 업계 분석이 권고하는 OTA 검증 성숙화 방안, 즉 단계적 롤아웃(소규모 선배포 후 전체 확대), 조기 이상 징후 감지를 위한 텔레매트리 강화, 롤백 기능 확보, 소유자 대상 업데이트 현황 투명 공개는 SUMS 프레임워크가 요구하는 내용과 정확히 일치합니다. 어떤 버전의 소프트웨어가 어느 차량에 배포되었는지 생애주기 전반에 걸쳐 추적하는 RXSWIN 관리 체계가 그 핵심입니다. 자동차관리법 시행규칙 개정으로 OTA 리콜이 합법화된 지금, SUMS의 실질적 이행이 뒷받침되지 않으면 제도는 껍데기에 그칩니다.
셋째, 공급망 투명성을 확보하고 실패의 전체 비용을 산정해야 합니다.
현대 차량의 소프트웨어는 수십 개 Tier 1·2 공급사에서 납품됩니다. SBOM(소프트웨어 자재명세서) 공시와 Tier 1 소프트웨어 컴포넌트에 대한 표준화된 검증 요건, 그리고 공급 모듈과 OEM 시스템 간 통합 테스트 강화가 필요합니다. 동시에 업계 분석이 경고하듯, 재작업은 직접 비용만 늘리는 것이 아닙니다. 소유자 신뢰 손실, 후속 리콜의 낮은 완료율, 규제 당국의 집중 감시, 그리고 품질 지표가 공개되는 시대의 경쟁력 약화까지 포함한 실패의 전체 비용을 의사결정에 반영해야 합니다. UN R155가 요구하는 사이버 보안 관리 시스템(CSMS)은 OTA 채널의 사이버 보안을 지키는 제도적 방어선이기도 합니다.
"SDV 전환은 많은 제조사의 품질 시스템이 감당할 수 있는 속도보다 빠르게 가속되고 있다. 지금 견고한 소프트웨어 품질 프로세스와 포괄적인 검증 프레임워크에 투자하는 제조사만이, 소프트웨어 품질이 구매 기준이 되는 시장에서 차별화될 것이다."
514만 대에 이르는 국내 리콜 기록 앞에서 우리가 물어야 할 것은 '얼마나 빨리 고치는가'가 아니라, '처음부터 제대로 만들었는가'입니다.
자동차관리법 시행규칙 개정으로 OTA 리콜의 문은 열렸습니다. 하지만 문을 여는 것과 그 문으로 안전하게 드나드는 것은 다른 문제입니다. 소비자가 차 안에서 소프트웨어 업데이트 알림을 받는 세상이 됐습니다. 이제 그 알림이 기능 개선이 아닌 안전 리콜인 경우도 점점 늘고 있습니다.
OTA는 도구이고, SUMS는 그 도구를 올바르게 쓰기 위한 안전기준입니다. 그 안전기준의 충실한 준수 없이는 리콜 기록은 해마다 새로 쓰일 것입니다.